Orcus RAT IOCs

Группа анализа ASEC недавно обнаружила Orcus RAT, распространяемую на файлообменных сайтах под видом взломанной версии Hangul Word Processor. Угрожающий агент, распространяющий эту вредоносную программу, - тот же человек, который распространял на файлообменных сайтах BitRAT и XMRig CoinMiner, замаскированные под инструмент проверки лицензии Windows.

Вредоносная программа, распространяемая угрожающим агентом, имеет схожую форму с предыдущими, за исключением того, что вместо BitRAT используется Orcus RAT. Более того, новая вредоносная программа является более сложной, чем прошлые версии, учитывая тот факт, что она включает в себя сложный процесс обхода обнаружения поведения антивирусным программным обеспечением и регистрирует команды PowerShell в планировщике задач для периодической установки новейших вредоносных программ.

Файлообменные сайты являются основной платформой наряду с торрентами, используемой субъектами угроз для распространения вредоносного ПО среди корейских пользователей. Зарегистрированные пользователи загружают медиафайлы, такие как фильмы и телесериалы, а также программы, такие как игры и утилиты, а также контент для взрослых. Другие пользователи могут заплатить определенную плату и скачать загруженные файлы.

В отличие от случаев случайного распространения вредоносного ПО различными угрожающими субъектами, использующими вредоносное ПО, которое можно легко найти в Интернете, угрожающий субъект, распространявший BitRAT и XMRig CoinMiner, продолжает нацеливаться на корейских пользователей, самостоятельно разрабатывая свое вредоносное ПО и предпринимая попытки обойти продукты AhnLab V3. Кроме того, взломанная версия BitRAT до сих пор не найдена, что говорит о том, что, хотя угрожающие лица сами разрабатывают вредоносное ПО, новейшие штаммы вредоносного ПО иногда приобретаются.

Orcus RAT - троянская вредоносная программа удаленного доступа, которая продается примерно с 2016 года. Компания Orcus Technologies, разработавшая эту программу, при продаже описывала ее как инструмент удаленного администрирования, но она включает не только функцию удаленного управления, но и такие вредоносные функции, как запись клавиатуры, сбор информации с веб-камеры и аккаунта, а также выполнение команд. Соответственно, в новостях появилась статья о том, что канадские власти провели рейд против разработчиков в 2019 году.

Как и другие вредоносные программы RAT, существует взломанная версия Orcus RAT, и поэтому различные субъекты угроз используют это в своих атаках. В этой статье мы кратко опишем процесс от начального способа распространения, когда угрожающий субъект побуждает пользователя установить вредоносное ПО, до конечной установки Orcus RAT и XMRig CoinMiner.

Indicators of Compromise

Domain Port Combinations

• minecraftrpgserver.com:27036
• minecraftrpgserver.com:80
• xmr.2miners.com:12222

URls

• https://api.telegram.org/bot5538205016:AAH7S9IGtFpb6RbC8W2TfNkjD7Cj_3qxCnI/sendMessage
• https://docs.google.com/uc?export=download&id=11oXcLJflmBUXZAycZ3mbTiqNctbmox0b
• https://docs.google.com/uc?export=download&id=1-B3960J-kcD_v9PaVP0gYyGpZVWDTHOw
• https://docs.google.com/uc?export=download&id=1bPnNN92VXIoGEWl-AAiYq_KAjqZA9Boe
• https://docs.google.com/uc?export=download&id=1DkEj9fNfDssSj0qNhpQUn1U-bHogDRrv
• https://docs.google.com/uc?export=download&id=1FgV6vUZZX3XkERFlXDpKQHoo8qYL9r4z
• https://docs.google.com/uc?export=download&id=1GWm1TFpqTxungXVH0vlktkat5HilyBOJ
• https://docs.google.com/uc?export=download&id=1kNCUUyEMYVhfp2rypg-3COmlrnAjBeyd
• https://docs.google.com/uc?export=download&id=1l4cygNMQxj-oyPPPFq65x1ALk9duhd7D
• https://docs.google.com/uc?export=download&id=1N75CXe7da3gN7DW2eM4X0w1Rb9XJr7Mx
• https://docs.google.com/uc?export=download&id=1qz1trnHId7cJZsjDnN0r7nSjaLbhw4sN
• https://docs.google.com/uc?export=download&id=1T3Kp_aH5-D8F5OS1qv40IPIUXoz3orh4
• https://docs.google.com/uc?export=download&id=1TgGYGUuCp2MC31UKtaOrlEDOIqbvYArO
• https://docs.google.com/uc?export=download&id=1VgEmuFjDFKXL-zVaaO903BHdoJN3Jr8M

MD5

• 516a2bde694b31735c52e013d65de48d
• 6a1fc56b4ce8a62f1ebe25bf7bbe2dbd
• 7303e2f671f86909527d8514e1f1f171
• 74bdc2a8d48a6a4833aac4832e38c3b9
• 9c11f58ed5e7b2806042bc9029a5cca8
• bd1301fb0bd0f7d2e75f090894423be0
• ccf2d6c69a4e016cd19fa4ee7bc341ec
• d3c271624e23c125b77dd774ffa4af5d